「“リアル”な自社特化型シナリオで備えよ」ランサムウェアの身代金要求に負けない“柔軟な”組織の作り方

ランサムウェア身代金の要求額は1社平均10億円超え？

　2024年7月に発覚したKADOKAWAのランサムウェア被害は、あらためてランサムウェアの脅威の深刻さを世に広く知らしめるものとなった。同事案ではその被害の深刻さもさることながら、KADOKAWAが巨額の身代金を支払ったとされるにもかかわらずシステムを復旧できなかったことが大きく取り上げられ、身代金を「支払うべきか、支払わないべきか」という議論が再燃するきっかけともなった。

　NRIセキュアテクノロジーズ コンサルティング事業統括本部長 山口雅史氏によれば、日本国内における身代金要求型ランサムウェアの被害件数は、近年増えているという。

　「これまで日本は海外と異なり、サイバー保険の補償対象に身代金が含まれていませんでした。そのため攻撃者も、サイバー保険を使って身代金を支払うことができる海外企業を主なターゲットとしてきましたが、3年ほど前から海外各国でも当局の指導や保険業界の方針転換などを機に身代金をサイバー保険の補償対象外とするようになっています。このような動きが要因の一つとなり、日本企業も攻撃ターゲットとして見なされることが多くなったのではないかと推察されます」（山口氏）

　また身代金の要求額も、全体的に高額化する傾向にあると指摘。NRIセキュアテクノロジーズが行った調査では、1社あたりの身代金の平均要求額は約10億円強となっているが、他社の調査では平均30億円、40億円という結果が出ているものもあるという。

　その背景には、サイバー攻撃の「ビジネス化」が進んでいる事情があると山口氏は指摘する。

　「かつてのサイバー攻撃グループは少人数で動いていたと推測されます。しかし現在では『標的企業の脆弱性を調査する組織』『ランサムウェアをサービスとして提供する組織』『侵入を実行する組織』『身代金の交渉をする組織』といったように、複数の組織が企業活動のように互いに連携しながら攻撃全体のプロセスを遂行することが多くなっているようです。こうして攻撃全体に関わるステークホルダーの数が増えた結果、その人件費を賄うために身代金の要求額も自ずと高額化しているものと考えられます」（山口氏）